(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Absichern von Designerkomponenten der benutzerdefinierten Steuerelemente

Viele benutzerdefinierte ASP.NET-Webserversteuerelemente verfügen über entsprechende Designerkomponenten, die für das Steuerelement Features bereitstellen, die die Darstellung und Bearbeitung zur Entwurfszeit ermöglichen. Beim Anzeigen eines Steuerelements in der Entwurfsansicht verarbeitet die Designerkomponente Eigenschaftenänderungen und übernimmt die HTML-Darstellung für den Entwurfshost (z. B. Visual Studio 2005). Zur Entwurfszeit wird die Designerkomponente eines benutzerdefinierten Steuerelements auf der gleichen Vertrauensebene wie ihr Entwurfshost ausgeführt. Designerkomponenten haben potentiellen Zugriff auf Datenbanken, können Websites auf einem Remoteserver aufrufen, Dateien erstellen und auf den Computer des Entwicklers Dateien schreiben, E-Mails senden und Code in anderen Assemblys ausführen.

Die Informationen in diesem Thema beschreiben bewährte Vorgehensweisen, um die Sicherheit der Steuerelement-Designerfeatures zu erhöhen.

Die Sicherheit der Anwendung kann zum einen durch die bewährten Vorgehensweisen für Konfiguration und Codeerstellung verbessert werden. Zum anderen sollten Sie den Anwendungsserver immer auf dem aktuellsten Stand halten und fortwährend die neuesten Sicherheitsupdates für Microsoft Windows und für Internetinformationsdienste (IIS) installieren. Das gilt ebenso für andere kommerziell erhältliche Produkte, die Sie für die Verwendung von benutzerdefinierten Steuerelementen auf Ihrem Computer installiert haben.

Ausführlichere Informationen über bewährte Vorgehensweisen für das Schreiben von sicherem Code und zur Sicherung von Anwendungen finden Sie in dem Buch "Writing Secure Code" von Michael Howard und David LeBlanc. Auch Microsoft Patterns and Practices stellt auf diesem Gebiet eine verlässliche Informationsquelle dar.

Probleme für Benutzer von benutzerdefinierten Steuerelementen

Sie sollten wissen, dass benutzerdefinierte Steuerelemente unbekannten Ursprungs möglicherweise Designer enthalten können, die vertrauliche Informationen auf Ihrem Computer für das Web verfügbar machen oder zur Entwurfszeit bösartigen Code ausführen. Darüber hinaus können Sie mit der Codezugriffskonfiguration den Zugriff für Steuerelement-Designer nicht beschränken, da diese immer mit voller Vertrauenswürdigkeit auf dem Entwurfshost ausgeführt werden müssen. Weitere Informationen über Vertrauensebenen finden Sie unter ASP.NET-Vertrauensebenen und Richtliniendateien.

Probleme für Entwickler von benutzerdefinierten Steuerelementen

Das Anwenden von Konfigurationsattributen für Klassen und Member, um die Berechtigungen auf ein für die Funktionalität des Steuerelements erforderliches Mindestmaß zu beschränken, funktioniert bei Designerkomponenten nur bedingt, da diese mit voller Vertrauenswürdigkeit auf dem Entwurfshost ausgeführt werden müssen.

Verwenden Sie nach Möglichkeit immer beispielhafte Datenstrukturen anstelle vertraulicher Informationen aus einer Datenbank, um Daten für eine Vorschau des Laufzeitsteuerelements zu erstellen.

Probleme für Entwurfshostentwickler

Entwickler von Entwurfshosts wie Visual Studio 2005 sollten HTML-Markup, Text und andere vom Designer zurückgegebene Daten aus Sicherheitsgründen überprüfen, bevor sie angezeigt werden. Beschränken Sie außerdem die Größe der Zeichenfolgen für HTML-Markup sowie die Größe der Designerbereiche auf überschaubare Dimensionen. Weitere Informationen über HTML-Validierung finden Sie unter Überprüfen der Benutzereingabe in ASP.NET-Webseiten.

Siehe auch

Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.